INFORME DE SERVICIO
C-TECH
ADMINISTRACIÓN MENSUAL
WEB APPLICATION FIREWALL
BLUE TEAM
WWW.Cliente.CL
CLIENTE: cliente
FECHA: 02-02-2024
WAF
El servicio de seguridad Cloud WAF de ITSec tiene como objetivo proveer de protección al aplicativo web
de los diversos ataques que son realizados desde cualquier punto del internet, con el fin de garantizar
que sus servicios se mantengan seguros y disponibles.
El servicio se basa en una configuración de alta disponibilidad, con una arquitectura diseñada para
inspeccionar los patrones y firmas de ataques en distintos niveles de red, tomando medidas mitigatorias
en tiempo real a los nodos que tienen actividades maliciosas con el servicio. Esta solución es Cloud,
siendo transparente para los servicios del cliente.
INFORMACIÓN DEL SERVICIO
| RESPONSABLE DEL SERVICIO | REALIZADO POR | FECHA DE ELABORACIÓN |
|---|
| Cloud Technologies | 01-02-2024 |
HISTORIAL DE REVISIONES
| VERSIÓN | REVISOR | FECHA |
|---|
| A | Cloud Technologies | 03-02-2024 |
| 1.0 | PMO | |
LISTA DE DISTRIBUCIÓN
| DIRIGIDO A | EMPRESA |
|---|
| Nombre | |
| Nombre | Nombre empresa |
| Nombre | |
| Nombre | |
| ITSec S.A. |
| Cloud Technologies | |
INFORME DE SERVICIO C-TECH CONFIDENCIAL
TABLA DE CONTENIDO
- Acuerdo de Confidencialidad5
- Alcance y objetivo6
- Tráfico procesado durante el período7
- Eventos de seguridad detectados en el sitio www.Cliente.cl8
- 4.1 Clasificación de eventos según el nivel de acceso8
- 4.2 Clasificación de eventos según su criticidad9
- 4.3 Eventos en el nivel de aplicación10
- 4.3.1 Direcciones IP bloqueadas por ataques a la aplicación web12
- 4.3.2 Geolocalización de atacantes en el nivel de aplicación web13
- 4.4 Eventos por geolocalización14
- 4.4.1 Geolocalización de atacantes en el nivel de red14
- Principales direcciones IP de acceso web15
- Incidentes o actividades16
- Conclusiones16
- Anexo: Glosario17

1. ACUERDO DE CONFIDENCIALIDAD
A través de la presente se les comunica a ustedes que toda la información, documentación y/o conocimiento
o cualquier otro antecedente de propiedad de la empresa, que con motivo del presente informe se pusiese
a su disposición o tuvieren acceso a las mismas, se entiende para todos los efectos legales como
“información confidencial”, en este sentido ITSec S.A. se obliga a mantener estricta confidencialidad
y reserva y a no divulgar por ningún motivo o causa los contenidos de ellos; ni a utilizarla en su propio beneficio.
Esta obligación se hace extensiva a todos los funcionarios o empleados que formen parte de ITSec S.A. en adelante “ITSec”,
sean o no dependientes, como también a sus socios y familiares.
Lo anterior incluye tanto la información documentada como verbal. La presente nota se entiende como parte esencial
e integrante de nuestra presentación del proyecto.
INFORME DE SERVICIO C-TECH CONFIDENCIAL
2. ALCANCE Y OBJETIVO
El objetivo del presente documento es mostrar los datos de acceso al sitio web referente a seguridad,
detallando los ataques detectados y bloqueados por el sistema durante el mes, indicando además los eventos
ocurridos y la acción aplicada sobre cada uno de ellos. Nuestro servicio se convierte en el punto de revisión
para los servicios web y las URL protegidas, filtrando todo tipo de ataques DDoS u otro tipo de intento de
explotación de vulnerabilidades que las aplicaciones puedan recibir.
A continuación, se presenta a modo de resumen, el alcance de servicio para el aplicativo:
www.cliente.cl.
| DESCRIPCIÓN | DATOS |
|---|
| Mes de servicio |
| URL | www.cliente.cl |
| IP pública del servidor web 1 | 1.1.1.1 |
| Configuración de alta disponibilidad (HA) | Activo |
| Apuntamiento DNS | clientes.1800waf.com |
| IP pública WAF ITSec Nodo 1 | 111.111.111.11 |
| Monitor de contenido | / |
| Observaciones | Sin observaciones |
3. TRÁFICO PROCESADO DURANTE EL PERIODO
Se presentan a continuación las gráficas del tráfico mensual del sitio procesado por el servicio Cloud WAF ITSec.
En la imagen número 1 se observa el gráfico correspondiente a los requests procesados.
Imagen número 1 – Gráfico de requests procesados en el mes del sitio www.cliente.cl.
La imagen número 2, muestra el tráfico aproximado del sitio, en el mes de enero con una transferencia de datos total de 7.116,1 MB.
Imagen número 2 – Gráfico de megabytes procesados en el mes del sitio www.cliente.cl.
4. EVENTOS DE SEGURIDAD DETECTADOS EN EL SITIO www.cliente.cl
Los eventos de seguridad para www.cliente.cl detectados por el servicio Cloud WAF de ITSec para el período monitoreado fueron los siguientes:
La tabla número 1, indica los eventos en base al nivel de acceso.
Tabla número 1 – Eventos en base al nivel de acceso.
La tabla número 2 indica las firmas de seguridad en base a su criticidad.
Tabla número 2 – Firmas de seguridad en base a su criticidad.
4.1 CLASIFICACIÓN DE EVENTOS SEGÚN EL NIVEL DE ACCESO
Los eventos de seguridad tienen una clasificación de acuerdo con el nivel del modelo OSI, en el cual son empleados en la plataforma de protección WAF de ITSec. Existen dos niveles en donde se generan bloqueos de direcciones IP:
4.2 CLASIFICACIÓN DE EVENTOS SEGÚN SU CRITICIDAD
Los eventos de seguridad también tienen una clasificación de acuerdo con la criticidad de las firmas utilizadas.
ITSec clasifica las firmas en 3 niveles que se detallan a continuación:
Criticidad Alta: Se categorizan como eventos de criticidad “Alta” aquellos que pueden afectar
la confidencialidad, integridad y la disponibilidad del servicio; dentro de esta categoría se incluyen los
siguientes ataques:
- XPath injection
- SQL injection
- OS command injections
- SSI injection
- Denial of Service (DoS)
Criticidad Media: Se categorizan como eventos de criticidad “Media” los que pueden afectar
la confidencialidad, o sean indicios de ataques dirigidos sofisticados, en esta categoría se incluyen las siguientes firmas:
- Cross Site Scripting (XSS)
- Técnicas de evasión
- Path traversal
- Crawlers
- Intercepción de Cookie/Sesiones
- Remote file inclusión
Criticidad Baja: Se categorizan como eventos de criticidad “Baja” a los que indican un posible
indicio de ataque mayormente generado por escaneos automáticos o por ser orígenes detectados como maliciosos.
Dentro de esta categoría se incluyen los siguientes:
- Ports Scanners Automáticos (Escaneos automatizados en capa 3 y 4)
- IP de orígenes identificadas como Botnet
- IP de orígenes identificadas en Blacklist
4.3 EVENTOS DE SEGURIDAD DETECTADOS EN EL NIVEL DE APLICACIÓN
El análisis de los eventos en este ítem corresponde a los eventos en la capa 7 de aplicación web para
www.cliente.cl, clasificados como bajos, medios y altos.
A continuación, en la tabla número 3, se presenta un detalle de las firmas utilizadas en el período.
Tabla número 3 – Detalle de firmas detectadas en el mes.
Gráfico número 1 – Representación gráfica de la tabla número 3.
El detalle de estas firmas detectadas por la plataforma WAF se muestra a continuación, donde se observa hacia qué path estuvo dirigida cada firma detectada, y cuál fue la cantidad de estos eventos durante el período informado.
Tabla número 4 – Detalle de firmas detectadas en el periodo.
INFORME DE SERVICIO C-TECH CONFIDENCIAL
4.3.1 Direcciones IP bloqueadas por ataques a la aplicación web
De los eventos reportados durante el mes, se registró 3 bloqueos de dirección IP correspondientes a ataques de criticidad alta.
En la imagen número 3 se puede observar que la actividad de los bloqueos de IP durante el mes fue de 3 eventos.
Imagen número 3 – Bloqueos IP por eventos “altos” reportados en el mes.
4.3.2 Geolocalización de atacantes en el nivel de aplicación web
En la tabla número 5 se muestran las principales direcciones IP identificadas como orígenes de ataques sobre la aplicación web detectados durante el período, identificando la ciudad, país y organización a la cual corresponde.
Tabla número 5 – Detalle de las 10 IP orígenes de ataques, con mayor recurrencia sobre la aplicación web.
Gráfico número 2 – Representación gráfica de la tabla número 5.
4.4 EVENTOS DE SEGURIDAD DETECTADOS POR GEOLOCALIZACIÓN
El análisis de los eventos en este ítem corresponde a los eventos por geolocalización, clasificados como criticidad baja.
Actualmente los países que están bloqueados para acceder al sitio del cliente son
Azerbaiyán, Bosnia and Herzegovina, China, India, Irán, Iraq, Lao
People’s Democratic Republic, Nigeria, Rusia, Yemen y Zimbabue.
Este ítem considera todos los eventos de geolocalización que corresponden al sitio www.cliente.cl.
Se registraron 2.870 eventos que activaron firmas de seguridad, a los cuales se les procede a bloquear el acceso al sitio web.
4.4.1 Geolocalización de atacantes en el nivel de red
En la tabla número 6, se muestran los principales países (top 10) identificados como orígenes de los ataques en el nivel de geolocalización.
Tabla número 6 – Detalle de los TOP 10 países.
Gráfico número 3 – Representación gráfica de la tabla número 6.
6. INCIDENTES O ACTIVIDADES
Durante el mes de enero no se presentaron incidentes de seguridad que comprometieran la confidencialidad o integridad del servicio web monitoreado y protegido para Cliente.
7. CONCLUSIONES
Durante el mes de enero 2024, se registraron 59 eventos de criticidad baja, 3 eventos de criticidad media y 3 eventos de criticidad alta. Todos los eventos fueron detectados y bloqueados por el sistema WAF en su capa de protección Web Application Firewall. Además, fueron detectados y bloqueados 2.870 eventos provenientes de países bloqueados por geolocalización en el WAF.
La información referida a la geolocalización de las direcciones IP es obtenida mediante el sitio
www.iplocation.net.
8. ANEXO: GLOSARIO
A continuación, un glosario de términos usado en el presente documento:
- Alerta de seguridad: Una alerta de seguridad se gatilla cuando existen claras evidencias de que un atacante remoto está tratando de vulnerar los sistemas informáticos de la organización, mediante el uso de uno o varios métodos conocidos de ataque, como, por ejemplo: DoS, fuerza bruta, explotación de vulnerabilidades, etc.
- Amenaza: Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información. Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada o explotada, independientemente de que se comprometa o no la seguridad de un sistema de información.
- Ataques Web: Un ataque web es un ataque que se comete contra una aplicación cliente y se origina desde un lugar en la Web, ya sea desde sitios legítimos atacados o sitios maliciosos que han sido creados para atacar intencionalmente a los usuarios de ésta.
- Cookie: Una cookie es una pequeña información enviada por un sitio web y almacenado en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario, dentro de esta se almacenan generalmente la información de sesión del usuario (usuario y contraseña), en una aplicación o servicio web.
- Crawlers: Es un programa que inspecciona las páginas del World Wide Web de forma metódica y automatizada. Uno de los usos más frecuentes que se les da consiste en crear una copia de todas las páginas web visitadas para su procesado posterior por un motor de búsqueda que indexa las páginas proporcionando un sistema de búsquedas rápido.
- Defacement: Término usado en informática para hacer referencia a la deformación o cambio producido de manera intencionada en una página web por un atacante que haya obtenido algún tipo de acceso a ella, bien por algún error de programación de la página, o por una mala administración de este.
- Detection Evasion: Vulnerabilidad que se activa cuando un host intenta atacar un sistema tratando de evadir el ser detectado por los sistemas de protección, haciendo uso de técnicas como fragmentación y denegación de servicios.
- DoS Attempt: Ataque que tiene como finalidad provocar que un servicio o recurso sea inaccesible para los usuarios. Uno de los principales problemas que causa este tipo de ataque es la pérdida de conectividad de la red por el consumo de ancho de banda, ya que este ataque consiste en enviar una gran cantidad de peticiones provocando la saturación del servicio y logrando su indisponibilidad hasta que el ataque sea controlado.
- Eventos de seguridad: Se definen como eventos de seguridad todos aquellos sucesos detectados por el servicio de monitoreo WAF de ITSec al sitio protegido por esta plataforma, que son clasificados como “Altos”, “Medios” y “Bajos”, dependiendo del impacto potencial que puedan tener en el servicio web monitoreado.
- Falso Positivo: Un evento será considerado como Falso Positivo cuando es generado por tráfico válido (normal de la red) sin mayores implicancias de seguridad relacionadas al mismo.
- Fuerza Bruta: Estos son básicamente intentos de “romper” todas las combinaciones posibles de nombre de usuario y contraseña en una página web. Los ataques de fuerza bruta buscan contraseñas débiles para ser descifradas y tener acceso de forma fácil.
- Handshaking: Proceso automatizado de negociación que establece de forma dinámica los parámetros de un canal de comunicaciones establecido entre dos entidades antes de que comience la comunicación normal por el canal.
- Incidentes de Seguridad de la Información: Según la norma ISO 27035, un Incidente de Seguridad de la Información es definido por un único o una serie de eventos de seguridad de la información indeseados o inesperados, que tienen una probabilidad y un impacto significativo, el cual puede comprometer las operaciones de negocio y amenazar la seguridad de la información.
- ISP (Internet Service Provider): Un Internet Service Provider o ISP (proveedor de servicios de Internet) es una organización que ofrece a sus usuarios acceso a Internet. Muchas compañías telefónicas son ISPs, pero no todas. Éstas ofrecen distintos servicios, como tránsito con Internet, registro de dominios, hosting, acceso vía módem o banda ancha e instalación de líneas.
- Modelo OSI: Es un marco de referencia para la definición de arquitecturas de interconexión de sistemas de comunicaciones formada por 7 capas que define las diferentes fases por las que deben pasar los datos para viajar de un dispositivo a otro sobre una red de comunicaciones, este modelo especifica el protocolo que debe ser usado en cada capa.
- OS Commanding: Ataque mediante el cual el usuario malicioso pretende ejecutar comandos sobre el sistema operativo del servidor web. El objetivo de este ataque es deshabilitar software, leer o modificar datos para los cuales no tiene privilegios de acceso.
- Path Traversal: El objetivo de este ataque es lograr acceso a ficheros o directorios que se encuentran fuera del directorio web raíz y a los cuales un usuario sin privilegios no tendría acceso alguno. Esto permitiría a un usuario malintencionado comprometer el sistema y navegar por toda la estructura de directorios de este.
- Port Scanner: Se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la máquina según los puertos que tiene abiertos. Este es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o de la red.
- Referrer Domain: Es una cabecera del protocolo HTTP que identifica la dirección de la página web que crea el vínculo hacia el recurso que está siendo solicitado.
- Remote File Inclusion: Ataque consistente en la existencia de parámetros vulnerables en el código PHP en sitios web que referencian a objetos externos sin filtrarlos de esa forma el atacante tiene la capacidad de subir archivos al servidor.
- Request: Es el término utilizado en la informática para referirse a una petición o solicitud de información u objeto desde un host contra un servidor.
- Riesgo: Se refiere tanto a las situaciones negativas tradicionales de riesgo que provocan pérdidas, como a las situaciones positivas de riesgo, que constituyen oportunidades.
- SQL Injection: Ataque web que aprovecha errores en la filtración de datos introducidos por el usuario y que permiten al atacante crear o alterar comandos SQL, pudiendo lograr el control de la aplicación con el fin de obtener datos.
- SSI Injection: Ataque que puede ser utilizado para comprometer sitios Web que contienen SSI (server-side include) declaraciones. Un SSI es un valor variable como una fecha de “última modificación” que un servidor puede colocar en un archivo HTML. Antes de enviar el archivo al solicitante, el servidor busca en el archivo para CGI (Common Gateway Interface) variables de entorno o insertar los valores adecuados en los lugares donde “incluyen” o aparecen declaraciones. En la inyección SSI, los valores de las variables son modificados por un hacker externo. Esto puede permitir que el hacker para añadir, modificar o borrar archivos HTML en el servidor. También puede hacer que sea posible para el atacante hacerse con el acceso a los recursos del servidor.
- Vulnerabilidad: Se define como un error, falla, debilidad o exposición de una aplicación, sistema, dispositivo o servicio que podría dar lugar a un fallo de la confidencialidad, integridad o disponibilidad.
- Xpath Injection: Es un ataque que utiliza la información suministrada por el usuario para construir una consulta Xpath para los datos XML. Mediante el envío de la información intencionalmente con formato incorrecto en el sitio web, un atacante puede averiguar cómo se estructura los datos XML, o acceder a datos que puede normalmente no tener acceso. Él puede incluso ser capaz de elevar sus privilegios en el sitio web si los datos XML se utiliza para la autenticación (por ejemplo, un archivo de usuario basada en XML).
- XSS – Cross Site Scripting: Ataque consistente en la inyección de código malicioso como un hipervínculo, con el fin de ejecutarse en sitios web, aplicaciones locales e incluso en los propios servidores con el propósito de dirigir la sesión de usuario a otro sitio web. De esta manera es posible secuestrar una sesión, robar cookies y cambiar la configuración de una cuenta de usuario.
— FIN DEL DOCUMENTO —